PODMÍNKY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
VE SMYSLU ČL. 28 GDPR

1. ÚVODNÍ USTANOVENÍ

1.1. Smluvní vztah s Dodavatelem. Na základě smluvního vztahu založeného Smlouvou o poskytování marketingových služeb (dále také „Smlouva“) poskytuje Dodavatel Objednateli své služby. Součástí Smlouvy jsou také obchodní podmínky, které upravují konkrétní pravidla při poskytování služeb, které jsou dostupné zde: https://www.retentionup.com/vseobecne-obchodni-podminky (dále také „Obchodní podmínky“).

1.2. Pojmy. Pojmy uvedené s velkými písmeny mají stejný význam jako pojmy uvedené ve Smlouvě a v Obchodních podmínkách, pokud není dále v tomto dokumentu uvedeno jinak.

1.3. Předmět zpracovatelských podmínek. Dodavatel vystupuje v pozici zpracovatele osobních údajů, neboť součástí poskytovaných služeb jsou služby spočívající v nastavení účtů, auditech a nastavování strategie e-mailingu, vytváření obsahu a automatizací, konzultacích a správě e-mailových kampaní. Součástí těchto služeb může být také zpracování osobních údajů. Tyto podmínky zpracování osobních údajů (dále také „Zpracovatelské podmínky“) upravují pravidla zpracování osobních údajů Dodavatelem jakožto zpracovatelem osobních údajů a jsou přílohou Smlouvy.

1.4. Soulad s právními předpisy. Osobní údaje jsou zpracovávány v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále také „GDPR“).

2. DOBA TRVÁNÍ ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

2.1. Doba zpracování. Dodavatel bude osobní údaje zpracovávat po dobu trvání Smlouvy, po dobu potřebnou pro plnění povinností vyplývajících ze Smlouvy či z Obchodních podmínek nebo po dobu potřebnou pro vykonání konkrétního pokynu ze strany Objednatele. S ohledem na typ poskytovaných služeb je délka zpracování osobních údajů omezena zejména na dobu poskytování služeb.

2.2. Skončení zpracování. Po skončení spolupráce, bez ohledu na způsob a důvod jejího skončení, Dodavatel vymaže nebo vrátí Objednateli do 30 dnů veškeré osobní údaje zpracovávané na základě těchto Zpracovatelských podmínek, přičemž výmaz provede ze zařízení a služeb, které jsou ve vlastnictví Dodavatele, pokud mu jejich uložení neukládá právo Evropské unie nebo České republiky.  V případě, že bude Dodavatel osobní údaje vracet, vrátí je ve formátu a způsobem určeným Dodavatelem.

2.3. Zrušení účtů. Po skončení poskytování služeb a ukončení spolupráce je Objednatel povinen zrušit přístupy k osobním údajům ukládaným a zpracovávaným v systémech, které spravuje Objednatel a zajistit tak omezení přístupu k osobním údajům ze strany Dodavatele. Dodavatel není odpovědný ani povinný zrušení účtů zajistit.

3. POVAHA A ÚČEL ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

3.1. Účel zpracování. Dodavatel bude zpracovávat osobní údaje v souladu s pokyny Objednatele pro následující účely (vždy dle rozsahu objednaných služeb):

a) nastavení účtu pro zajištění správného trackování, personalizace a další činnosti související s provozem e-mailingového účtu;

b) audit a nastavení strategie e-mailingu;

c) kontrola správnosti doručitelnosti;

d) vytváření obsahu pro e-mailing;

e) tvorba formulářů pro sběr kontaktů;

f) reporting výsledků a aktivit v rámci poskytování služeb.

3.2. Povaha zpracování. Dodavatel bude pro účely poskytování služeb zpracovávat osobní údaje pouze v elektronické formě, přičemž předmětem zpracování je shromažďování osobních údajů, strukturování, nahlížení, segmentování na základě dat, analýza dat, využívání dat pro účely reportingu a testování a další činnosti, které souvisí s výše popsanými účely a případnými dalšími pokyny, které Dodavatel od Objednatele obdrží.

4. DRUHY OSOBNÍCH ÚDAJŮ

4.1. Předmět zpracování. Předmětem zpracování podle těchto Zpracovatelských podmínek budou následující osobní údaje:

a) identifikační údaje;

b) kontaktní údaje (e-mail, telefonní číslo);

c) lokační údaje;

d) pohlaví, nákupní historie a další informace, které jsou sbírány prostřednictvím nástrojů spravovaných Objednatelem, do kterých má Dodavatel přístup;

e) údaje, které budou zpracovány Dodavatelem v rámci poskytování služeb a při plnění Smlouvy, a to v rozsahu poskytnutém Objednatelem, případně v rozsahu, který bude přístupný prostřednictvím účtů, ke kterým má Dodavatel přístup.

5. KATEGORIE SUBJEKTŮ ÚDAJŮ

5.1. Kategorie subjektů údajů. Osobní údaje se budou týkat těchto kategorií subjektů údajů:

a) zákazníci Objednatele;

b) osoby, které se přihlásily k odběru e-mailingu;

c) uživatelé aplikací, ke kterým byl Dodavateli zřízený přístup;

d) další osoby, jejichž osobní údaje jsou obsaženy v informacích, které jsou zpřístupněny Dodavateli při poskytování služeb a při plnění Smlouvy.

6. PRÁVA A POVINNOSTI STRAN

6.1. Povinnosti Dodavatele. Dodavatel prohlašuje a zavazuje se, že:

a) dozví-li se o porušení nebo hrozícím porušení zabezpečení osobních údajů, náhodném nebo protiprávním zničení, ztrátě, změně nebo neoprávněném poskytnutí či zpřístupnění zpracovávaných osobních údajů, neprodleně, nejpozději do 48 hodin, písemně informuje Objednatele a co nejlépe popíše vzniklé či hrozící bezpečnostní riziko, přičemž Objednateli sdělí vhodná opatření pro zabránění nebo minimalizaci porušení zabezpečení poskytovaných služeb a údajů spojených se službami a přijme veškerá potřebná opatření pro minimalizaci škody;

b) osobní údaje budou zabezpečeny v souladu s čl. 7 těchto Zpracovatelských podmínek;

c) osobní údaje bude zpracovávat pouze v souladu s těmito Zpracovatelskými podmínkami, Smlouvou, poskytovanými službami nebo na základě jiných písemných pokynů Objednatele;

d) bude Objednateli nápomocen při zavádění a udržování vhodných technických a organizačních opatření k zabezpečení osobních údajů, při ohlašování porušení zabezpečení osobních údajů dozorovému úřadu nebo subjektu údajů, při posuzování vlivu na ochranu osobních údajů a při předchozích konzultacích s dozorovým úřadem;

e) zajistí Objednateli prostřednictvím vhodných technických a organizačních opatření součinnost, nejpozději do 14 dnů od vznesení požadavku Objednatele, pro splnění Objednatelovy případné povinnosti reagovat na žádosti o výkon práv subjektů údajů;

f) poskytne Objednateli na jeho žádost neprodleně, nejpozději však do 14 dnů, veškerou součinnost nutnou k prokázání, že jsou osobní údaje organizačně a technicky zabezpečeny a poskytne veškerou součinnost v případech, kdy je u Objednatele zahájena kontrola dozorového orgánu.

6.2. Vyřizování žádostí. Pokud Dodavatel při zpracovávání osobních údajů obdrží od subjektu údajů ve vztahu k osobním údajům jakoukoliv žádost, sdělí subjektu údajů, aby se s žádostí obrátil přímo na Objednatele. Objednatel je odpovědný za vyřízení žádosti subjektu údajů.

6.3. Zapojení dalších zpracovatelů. Objednatel souhlasí s tím, aby Dodavatel do zpracování osobních údajů zapojil další zpracovatele. Pokud takto Dodavatel zapojí dalšího zpracovatele, zajistí, aby dodržoval stejné povinnosti na ochranu osobních údajů, jaké jsou uvedeny v těchto Zpracovatelských podmínkách. Konkrétně Objednatel souhlasí se zapojením následujících dalších zpracovatelů:

a) Osoby spolupracující s Dodavatelem na základě smlouvy o spolupráci či jiné dohody, přičemž konkrétní osoby Dodavatel poskytne Objednateli na základě písemného požadavku ze strany Objednatele;

b) společnost Google Ireland, která zajišťuje služby spojené s úložištěm a komunikací;

c) společnost Mango Technologies, Inc., která poskytuje nástroj pro projektové řízení ClickUp;

d) poskytovatelé komunikačních nástrojů, konkrétně nástroje Slack;

e) společnost Pipedrive OÜ, která poskytuje CRM nástroj.

Pro vyloučení všech pochybností, dalšími zpracovateli nejsou poskytovatelé nástrojů a software, které zajišťuje Objednatel a ke kterým zřídil Dodavateli pouze přístup. Vůči těmto poskytovatelům vystupuje Objednatel v samostatném smluvním vztahu a je jeho povinností zajistit legálnost předávání osobních údajů a jejich zpracování.

6.4. Námitky. Pokud by Dodavatel měl zapojit další zpracovatele, kteří nejsou uvedeni v těchto Zpracovatelských podmínkách, dopředu Objednatele informuje a umožní mu vznést proti tomuto zapojení námitky. Pokud námitky Objednatel nevznese ani do 14 dnů od oznámení o zapojení dalšího zpracovatele, zapojí Dodavatel dalšího zpracovatele do zpracování osobních údajů. V případě, že námitku Objednatel vznese, tuto Dodavatel vyhodnotí a v případě, že ji shledá jako důvodnou, dalšího zpracovatele nezapojí a v takovém případě je oprávněn vypovědět Smlouvu.

6.5. Audity. Dodavatel je povinen umožnit Objednateli či jím pověřené osobě kontrolu (včetně auditu či inspekce) dodržování těchto Zpracovatelských podmínek, zejména povinností pro zpracování osobních údajů z nich vyplývajících, a k těmto kontrolám přispěje dle důvodných pokynů Objednatele či kontrolující osoby.

6.6. Pravidla uskutečnění auditů. Jakoukoliv žádost o audit je Objednatel povinen zaslat výhradně na e-mailovou adresu Dodavatele petr@retentionup.com. Po obdržení žádosti o audit se Dodavatel a Objednatel dopředu dohodnou na: (a) možném termínu provedení auditu, bezpečnostních opatřeních a způsobu zajištění dodržení závazků mlčenlivosti během auditu, a (b) předpokládaném začátku a době trvání auditu. V případě, že k dohodě nedojde ani do 14 dnů ode dne odeslání žádosti, určí podmínky auditu Dodavatel.

6.7. Výběr auditora. Dodavatel může vznést písemné námitky proti jakémukoliv auditorovi, který byl pověřen Objednatelem, pokud není auditor podle názoru Dodavatele dostatečně kvalifikován, není nezávislý, je v soutěžním postavení vůči Dodavateli nebo je jinak zjevně nevhodný. Na základě vznesené námitky má Objednatel povinnost pověřit jiného auditora, nebo provést audit sám.

6.8. Rozsah auditu. Objednatel je v rámci auditu oprávněn provádět pouze kontrolu dat a dokumentů, které se týkají zpracování osobních údajů, které Dodavatel provádí přímo pro něj na základě Smlouvy. Objednatel souhlasí s tím, že rozsah dat a dokumentů, které auditu podléhají, z tohoto důvodu vždy určuje Dodavatel.

6.9. Povinnost Objednatele. Objednatel je odpovědný za plnění všech povinností ve vztahu ke zpracování osobních údajů, zejména za řádné informování subjektů údajů o zpracování osobních údajů, získání souhlasu se zpracováním osobních údajů, pokud je zapotřebí, vyřizování žádostí subjektů údajů týkajících se realizace jejich práv (jako je právo na informace, přístup, opravu, výmaz, omezení zpracování, vznést námitku apod.).

6.10. Zajišťování rozesílky obchodních sdělení. Jelikož předmětem Smlouvy je také zajištění činností zpracování, které zahrnují zasílání obchodních sdělení a další marketingové činnosti ve smyslu § 7 zákona č. 480/2004 Sb., o některých službách informační společnosti, Objednatel zaručuje, že má pro zpracování osobních údajů za těmito účely zákonnost ve smyslu čl. 6 GDPR. Dodavatel není odpovědný za jakoukoliv škodu, která Objednateli vznikne v souvislosti se zpracováním osobních údajů pro marketingové účely. Dodavatel je dále oprávněn odmítnout pokyn Objednatele v případě, kdy by byl v rozporu s výše uvedenými právními předpisy, přičemž se nejedná o porušení Smlouvy ze strany Dodavatele. Na žádost Dodavatele předloží Objednatel písemný důkaz o tom, že získal od subjektů údajů souhlas, pokud je v souladu s výše uvedenými předpisy potřeba, přičemž do doby předložení souhlasu není Dodavatel v prodlení s poskytováním služby.

7.  BEZPEČNOST OSOBNÍCH ÚDAJŮ

7.1. Bezpečnostní opatření. Dodavatel přijal níže uvedená opatření a zavazuje se je udržovat pro zajištění zabezpečení zpracování osobních údajů po celou dobu zpracování:

a) pseudonymizace a šifrování osobních údajů;

  • tam, kde je to možné, jsou používána opatření k zabránění přiřazení údajů ke konkrétní osobě;

  • IT systémy zpracovávající osobní údaje subjektů údajů Objednatele umožňují pouze zabezpečené kanály nebo protokoly pro příchozí síťová spojení;

b) schopnost zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování – zavedená opatření a jejich korektní fungování budou pravidelně kontrolovány;

  • fyzický přístup do prostor a zařízení, kde se zpracovávají údaje Objednatele, je omezen na oprávněné pracovníky;

  • pokud je Dodavatel odpovědný za správu a údržbu systémů, v nichž jsou uloženy nebo zpracovávány údaje Objednatele:

přístup je důkladně ověřen (např. pomocí politik silných hesel podle přijatých osvědčených postupů);

přístupová práva k údajům Objednatele jsou udělována na základě zdokumentovaného postupu vyžádání a schválení;

zaměstnanci, kteří mají přístup k údajům Objednatele, používají jedinečné a nesdílené osobní přihlašovací údaje. Používání obecných účtů je zakázáno;

pokusy o přístup (úspěšné i neúspěšné) jsou zaznamenávány, monitorovány a logovány;

síťová infrastruktura Dodavatele je odpovídajícím způsobem chráněna;

  • zaměstnanci Dodavatele mají zakázáno stahovat a zpracovávat osobní údaje, které vlastní nebo zpracovává Objednatel, lokálně na svých pracovních stanicích nebo na jiném síťovém místě (např. na sdíleném disku), které není spravováno Objednatelem nebo není Objednatelem schváleno;

  • Dodavatel a všichni pracovníci Dodavatele jsou zavázaní k mlčenlivosti, a to minimálně v rozsahu získaných přístupů k osobním údajům;

c) schopnost obnovit dostupnost osobních údajů a přístup k nim včas a v případě fyzických či technických incidentů;

  • Dodavatel nastavil pravidla zálohování a mechanismy zálohování;

  • jsou nadefinovány postupy obnovy, čitelnosti dat a integrity záloh, přičemž tyto postupy jsou pravidelně testovány;

  • přístup k datům v zálohách je omezen na oprávněné pracovníky v minimálním rozsahu;

d) proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.

8. DALŠÍ UJEDNÁNÍ

8.1. Náklady. Dodavatel je oprávněn vyúčtovat Objednateli účelně vynaložené náklady spojené s vyřizováním jakékoliv žádosti uvedené zejména v čl. 6 Zpracovatelských podmínek (včetně vyřizování všech žádostí při zajišťování souladu, nápomoci při provádění dalších činností, auditů apod.).

8.2. Odpovědnost Objednatele. Pravidla pro odpovědnost Objednatele dle čl. 8.5. Obchodních podmínek se aplikují také na zpracování osobních údajů dle těchto Zpracovatelských podmínek.

8.3. Změny. Tyto Zpracovatelské podmínky je možně měnit za stejných okolností, jako je uvedeno v čl. 10.1. Obchodních podmínek.